Леонид Лямин, начальник отдела электронных банковских технологий
департамента банковского надзора, Банк России
В части классификации технологий дистанционного банковского обслуживания (ДБО) традиционно принято выделять технологии «толстого клиента», «тонкого клиента» (интернет- и мобильный клиент) и использование банкоматов и платежных терминалов. Последние предназначены прежде всего для карточного обслуживания, а в новейшее время – для платежей на базе технологии радиоконтакта в ближней зоне (Near Field Communication – NFC).
Обеспечение информационной безопасности ДБО, грамотное управление возникающими рисками, а также предотвращение возникновения конфликтных ситуаций при использовании ДБО в последние годы стали серьезной проблемой. И чтобы противостоять специфическим угрозам ДБО, анализа банковских рисков с общих позиций недостаточно. Как подчеркивается в документах Базельского комитета по банковскому надзору (БКБН), необходимо, чтобы кредитная организация различала риски, присущие новым продуктам и операциям, и следила за тем, чтобы до их введения или реализации они были учтены в соответствующих инструкциях и системе контроля, работающей в банке. Новые для кредитной организации продукты и виды деятельности, согласно нормативным установлениям Базеля, должны подвергаться тщательному предварительному анализу, позволяющему гарантировать понимание характера связанных с ними рисков и возможность учета этого в процессе управления ими. До введения нового продукта и стратегии хеджирования рисков ее руководство должно утвердить адекватные функциональные инструкции и систему контроля рисков.
На практике в случае «толстого клиента», т. е. стационарных автоматизированных рабочих мест, необходимо в первую очередь четко распределять права и полномочия доступа к информационно-процессинговым ресурсам кредитной организации (КО). И этот доступ должен быть, прежде всего, строго индивидуальным: здесь уместно вспомнить один из законов Мэрфи, который гласит, что «если за работу отвечает более одного человека, то виноватых не найдешь».
Для физических лиц упомянутые системы с «толстой» клиентской частью, естественно, неудобны, вследствие чего они пользуются системами с «тонким клиентом». Наиболее «тонким» вариантом является тот или иной унифицированный браузер, что и было изначально реализовано в конце 1990-х гг. в технологии интернет-банкинга. Развитием интернет-банкинга стал «мобильный банкинг», начинавшийся с портативных компьютеров типа ноутбук и мобильных телефонов и превратившийся в настоящее время в множественные варианты «мобильного клиента» (клиентской части удаленного информационного взаимодействия), устанавливаемого на средства компьютерной связи (коммуникаторы, планшеты и т. п.).
Одним из промежуточных результатов такого развития стало применение многоканальных (чаще двухканальных) схем информационного взаимодействия, когда пользователям интернет-банкинга передаются на мобильные телефоны сеансовые пароли. Другой вариант – пользователи снабжаются специальными криптокалькуляторами, выполняющими аналогичные функции. Иногда реализуются те или иные варианты биометрической идентификации (что наиболее затратно, но и наиболее надежно). Акцент на мультипараметрической идентификации и применении специальных средств криптозащиты информационного обмена обусловлен тем, что преступные сообщества все более активно вмешиваются в информационный обмен по линии ДБО, начиная со взломов компьютерных систем кредитных организаций и заканчивая технологиями так называемого социального инжиниринга (включая небезызвестный фишинг и другие подобные преступные действия), с помощью которых клиенты ДБО невольно выдают данные своей персональной удаленной идентификации.
Что касается использования для ДБО сетей банкоматов и платежных терминалов, то бум преступных действий, направленных на пользователей этих систем, начался уже довольно давно и не прекращается до сих пор, хотя его акценты постепенно смещаются. Особенно в части «скимминга», т. е. использования накладных устройств на банкоматах, позволяющих похищать данные индивидуальной идентификации пластиковых карт клиентов. Конечно, некоторые виды банкоматных мошенничеств постепенно уходят в прошлое («ливанская петля» или накладные клавиатуры), но им на смену приходят другие технологические новшества, например «шимминг»[2], при котором тонкое плоское считывающее устройство внедряется непосредственно в кард-ридер терминала, а похищаемые им данные передаются по радиоканалу.
Основной фактор, который осложняет претензионную работу в случае ДБО, – размытие «информационного контура банковской деятельности»[3] и, как следствие, возникающая взаимная анонимность кредитной организации и ее клиентов в виртуальном пространстве этого контура. Довольно часто после заключения клиентом, не желающим посещать кредитную организацию, дополнительного соглашения к договору банковского счета, предусматривающего ДБО, либо аналогичного специального договора или контракта такой клиент фактически может исчезнуть из поля зрения кредитной организации. Договоренности подобного рода никак не учтены в российском законодательстве, несмотря на весьма существенную специфику отношений между агентами ДБО и содержание сопутствующих правоустанавливающих документов. В условиях массового ДБО (десятков, сотен тысяч клиентов) ситуация усугубляется.
Возникающая при ДБО взаимная анонимность кредитной организации и ее клиента характеризуется двумя эффектами. Во-первых, кредитная организация не всегда может быть уверена в том, что с ней «из-за горизонта» взаимодействует известный ей, легитимный, официально зарегистрированный клиент. По существу, этот эффект лежит в основе всех финансовых преступлений в области ДБО. Во-вторых, сам клиент не всегда может быть уверен в том, что он взаимодействует со своим банком, и на этом эффекте базируются все технологии фишинга, с помощью которых совершаются мошенничества в киберпространстве современной банковской деятельности. Результат проявления обоих эффектов – неожиданная реализация новых угроз надежности банковской деятельности (которые вполне можно было бы парировать) и связанные с этим финансовые потери кредитных организаций и их клиентов, равно как и последующие судебные разбирательства, т. е. реализация, как минимум, правового, репутационного, операционного, а иногда и стратегического риска для кредитных организаций (если внедрение какой-либо системы электронного банкинга оказывается невостребованным и/или нерентабельным).
Проблема идентификации «скрытого за горизонтом» клиента и подтверждения аутентичности информационного обмена с ним при ДБО до сих пор решается в российском банковском сообществе с некоторым трудом (об этом свидетельствуют, в частности, недостатки договоров на ДБО, случаи взлома электронно-цифровых подписей, множественные ситуации с подменой реквизитов платежных поручений или исполнением фальшивых ордеров клиентов и др.). Независимо от формы ДБО, применяемой КО, требуется подтверждение указанной аутентичности принятыми ею же способами, на которых, как предполагается, будет основана последующая претензионная работа (причем она, как полагают, станет надежной с точки зрения и самой КО, и ее клиентов). В то же время руководству КО необходимо контролировать весь сеанс ДБО, одновременно обеспечивая оперативное реагирование на возможные инциденты, поскольку в подавляющем большинстве случаев атаки преступных элементов направлены именно на клиентов ДБО.
В этом плане самое важное – правильная интерпретация руководством и специалистами кредитной организации понятия «периметр безопасности», что не всегда просто, поскольку оно многоплановое и связано с несколькими аспектами электронного банкинга. Прежде всего, КО следует ставить клиента ДБО в возможно более жесткие условия, которые закрепляются в договоре на ДБО. Главное, чтобы клиент не мог создавать инциденты ИБ по халатности, из-за слабой подготовки в области информационных технологий и т. д. Далее, в АБС и системах ДБО должны присутствовать надежные средства журналирования, формирующие файлы «системных логов» и «аудиторских трейлов», также надежно защищенные от несанкционированного доступа. Наконец, банкам следует избегать непрозрачных схем передачи данных, т. е. ее специалисты должны четко представлять себе соответствующие маршруты, включая системы провайдеров.
Что касается клиентов ДБО, то они чаще всего ничего не знают о зависимости ДБО от тех или иных провайдеров (об этом кредитные организации ни в каких памятках чаще всего не пишут). Поэтому в ситуациях, когда что-то негативное случается на территории провайдера (авария, отказ, сбой, сетевая атака и т. п.), клиент приходит с претензией к «своей» КО, обслуживаемой этим провайдером. К слову, во многих странах кредитные организации законодательно обязываются регулярно (как правило, ежегодно) направлять своих сотрудников на проверку в организации-провайдеры для контроля обеспечения ими: 1) надежности работы своих аппаратно-программных средств и минимально гарантируемого уровня обслуживания, 2) обеспечения ИБ и 3) финансового состояния (причем включая и субпровайдеров!).
Очень многое в сфере предотвращения реализации банковских рисков ДБО зависит от эффективности и качества претензионной работы, тем более что российское гражданское законодательство (а значит, и органы банковского регулирования и контроля, к которым обращаются за помощью пострадавшие клиенты кредитных организаций) серьезной опорой пока служить не может. От решения тех же вопросов зависит и эффективность проведения расследований в связи с компьютерными преступлениями. Главными задачами являются формирование доказательной базы и обеспечение юридической силы документов, существующих при ДБО только и исключительно в так называемой электронной форме. Несмотря на то что эти задачи вроде бы эффективно решаются организациями-разработчиками средств «аналогов собственноручной подписи» и криптозащиты информации, передаваемой через виртуальное пространство локальных, муниципальных и зональных сетевых структур в целом (судя по их рекламе), не все так однозначно.
В заключение отметим, что от руководства банка требуется принятие конкретных мер по обеспечению ИБ используемых систем ДБО и АБС. В первую очередь это определение состава той сеансовой информации, которая должна сопровождать каждое обращение любого клиента ДБО за той или иной банковской услугой. Содержание информации целесообразно описать в договоре на ДБО, чтобы клиент с ним согласился, получив при необходимости детальные разъяснения не только от операционистки, но и от специалистов по информационным технологиям и обеспечению ИБ.
[1] Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.
[2] От англ. shim – тонкая прокладка.
[3] См., например, Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. № 5. С. 52–63; № 6. С. 43–54; № 7–8. С. 37–54.
